功能安全确保工业安全

作者:Heinrich Käuper,孟昭晋 文章来源:菲尼克斯电气 发布时间:2012-12-04


图1  MACX Analog Ex系列安全栅

近年来,自动化行业发展迅猛,市场规模不断递增。伴随着应用市场对自动化产品各方面要求的不断提升,自动化行业在安全、标准化等方面要求也越来越高。 其中,可以确保自动化产品的高可靠性,高安全性的功能安全认证,已经成为国内企业必须面对的一项非常重要的工作。

目前,在全球相关行业和安全领域内,例如石油化工、铁路信号、汽车电子和核电等领域,安全控制设备或者系统必须具备功能安全认证,这已经成为了安全监管机构甚至业主在采购设备时的强制要求。

以过程行业为例,如果过程行业工厂和系统存在对人和环境的潜在危险,那么它们的仪表、控制技术和控制设备必须满足特殊的要求。下文将以MACX Analog Ex系列安全栅为例对防爆(Ex)和功能安全(SIL)的共同特点和区别进行讨论。

在过程工厂和系统中,与防爆和功能安全相关的测量经常同时发生,并且相互补充。但是,它们又具有共同点,那就是保护人员、环境以及物资。

避免潜在爆炸区域的点火源

控制仪表和自动化技术的防爆是基于安全可靠的避免潜在爆炸区域(次级防爆)的点火源,本质安全保护已经被证明是最佳的方式。这是因为本质安全回路的低能量水平可以允许工作状态下的测量和改造。本质安全要求对于仪表的功能和控制回路的运行不是决定性的,但是仍可在故障条件下安全可靠地实现防爆测量。

本安保护的原则是安全限制馈入潜在爆炸危险区域的能量,这样不会有电火花或不允许的温升出现。用户要实现“本质安全”必须搭建完整的本质安全回路,包括安装在危险区域的本质安全设备、本质安全关联设备和本质安全连接线缆。此外,本安信号隔离器可以在故障条件下保持本质安全所定义的参数。这些参数包括空载电压、短路电流和最大功率等。但是,这些参数限制了连接的电感和电容大小,电容值决定了电缆的长度。创新的本安信号隔离器,如MACX Analog Ex,避免自身带来最高的电容值(Co)(图2)。


图2  本质安全防护

本质安全功能与设备的器件水平有关,它确保了本质安全的各项限制参数的实现,这些参数符合EN 60079-0和EN 60079-11的设计规范。由于设计时考虑了安全系数,具有本安认证的器件有很长的使用寿命,两倍甚至三倍于普通器件,它们有更高的能量储备(如考虑热负载容量)、大的空气爬电距离。为了满足Category 1G/D的要求,甚至当两个可识别故障或多个不可识别故障出现时,用于防爆0区的安全设备必须保证其必需的安全水平,例如它们必须防止爆炸氛围的点火源。但功能方面,例如压力、温度、阀门开关测量没有考虑在内。

随着电子、电气、可编程电子器件和软件系统在自动化控制领域的大量使用,生产自动化程度和生产效率有了明显提高。但由于研发人员技术知识结构的缺失,以及企业在开发制造中风险管理意识的不足,自身安全性能存在缺陷的产品大量流入相关行业中,其可靠性问题已经造成人身安全、财产损失和环境危害等诸多影响,给社会带来了无法挽回的损失。

设备/系统危险故障残留风险

作为最小化风险的设备,如果危险情况发生,其保护水平任务是达到或维持一个工厂或系统的安全状态。安全功能必须可靠的被执行,这意味着保护系统的危险故障概率必须尽可能的低。

如果仪表和控制信号是防爆工厂或系统结构(安全仪表系统)内保护水平的一部分,那么考虑到本安测试的可用性和可靠性,用户必须限制信号传输。全球有效的IEC61508标准和IEC61511过程行业应用标准正是源于此,标准规定了基于故障概率已确认的残留故障数量。与较前的DIN V19250和DIN V19251标准相比较,新增了从传感器到执行器安全安装的描述,并且进一步明确,关注的是组织的措施,例如定期的人员功能检查和测试培训。IEC标准包含了整个安全生命周期,从最初的概念规划到执行、安装、试车、运行、服务和维护及停止使用。

EN60079不同的子标准根据保护等级定义了用于防爆的纯硬件测量,而IEC61508是通过选择的故障数据分析来评价硬件。关键的数据通过整个信号链进行评估。安全完整性水平取决于工厂运行风险分析的一部分,它分配一个故障限值给安全功能。安全水平分为4级,最高是SIL4,最低是SIL1。每一级对应安全功能中不同故障概率的范围。在过程行业,测量回路更多的执行SIL2,很少执行SIL3,如果执行SIL3,通常用于冗余组态。 SIL4从未应用过,因为它不能仅通过仪表和控制测量单独实现。

设计测量回路所需要的关键参数

功能安全认证除考虑常规的电气安全、EMC电磁兼容性能之外,会额外对硬件的PFD、HFT、SFF、SIL等级等参数进行评估,这些参数,制造商会连同设备文件(安全手册)一起提供。除此之外,安全手册包括FEMDA结果(失效模式影响和诊断分析)。例如,硬件固件结构和所有设备器件都在FMEDA范围内,另外,会对整体开发流程、硬件结构、软件构架等方面进行全方面的验证。


图3  根据IEC 61508的设备分类

PFD(平均失效概率)

一个最重要的关键参数是危险失效概率(PFD),它由低要求操作模式所决定。这也说明了安全功能不被执行的平均概率。这种情况仅出现在危险情况下,安全功能确实被要求时,为了保证监控系统在一个定义的安全状态下运行,例如,要求每年只能小于等于一次。通常,化工行业工厂的保护系统运行要求出现事故的概率很低。

PFH(每小时危险失效概率)

每小时危险失效概率(PFH) 应用于高要求或连续操作模式。这是保证被监控系统永远保持正常和安全状态下运营的主要参数。(例如,监视机器速度)

SFF(安全失效分数)

91.3%意味着100个安全功能故障中91.3个是非关键故障。通过自测试实现故障检测,相应的响应能力也起着重要作用。和自动检测到或检测不到这些故障的可能性一样,危险和非危险故障也有区别。在此情况下,本安MACX Analog Ex系列温度变送安全栅中,除实际的信号传输功能之外,诊断功能也一直在运行,用于检测不正确的状态。

HFT(硬件故障裕度)

HFT提供系统所能容许的故障数量。HFT值为0,表明是单通道应用,如果只有一个单独故障出现,就会引起安全功能丧失。


图4  安全控制回路故障分布

A类和B类设备

当评估安全性时,分“简单”和“复杂”设备。“简单”的A类设备器件故障,里如纯模拟量4~20mA本安馈电隔离器,型号MACX MCR-EX-SL-RPSSI-I可被完全定义。另一方面,“复杂”的B类设备器件故障,例如本安温度变送器MACX MCR-EX-SL-RTD-I的微处理器和固件,并不被完全知道。

如果根据IEC61508研发和认证本安信号隔离器,硬件和软件要全部进行评估,同时,在研发、生产和运行(安全生命周期管理)时必须考虑所有的故障避免和故障处理措施。这些措施对提高产品质量具有重要意义。

低PFD组件有益于接口产品

完整的安全回路的PFD是源于所有独立器件的PFD之和。例如本安保护类型,如果进行完整的本质安全测量回路设计,需要实现功能安全,那么必须对整个以安全导向的测量回路进行评估。一个独立的设备没有SIL认证,但是因为它的安全参数符合要求,可用于安全导向测量回路,例如,根据SIL2,PFD值为10-3~10-2,对于SIL2,所有PFD之和不能超过0.99×10-2,然而本安温度变送器不能超过10%的总PFD,MACX MCR-EX-SL-RTD-I 温度变送安全栅PFD值为9.1×10-4,远远低于全部PFD的10%。对于用户来说,规定的测试间隔最多可以延长至7年。

总结

创新的MACX Analog Ex系列安全栅不仅满足防爆相关的高要求,还可用于安全导向的回路研发和认证。对应当前本安回路ATEX标准,电子接口产品标识有Ex II(1)GD [Ex ia] IIC/IIB 表明可以安装在防爆0区(气体)和20区(粉尘)。因此,根据IEC 61511,它们最高可用于SIL 2应用场合,甚至在一些情况下,可用于SIL3应用场合。因此,MACX Analog Ex系列产品几乎可应用于所有应用,并在提高系统利用率方面扮演重要角色。而且,该系列产品具有12.5mm超薄设计,更多的节省柜内空间。同时,模块导轨连接器实现底部桥接供电,减少了接线时间和成本。这也是该系列安全栅产品具有高性价比的原因。

功能安全不但在过程自动化和工厂自动化为保障系统和设备安全功能完整,在国内能源领域内,例如火电汽轮机和锅炉保护领域,甚至在太阳能和风力发电等新能源领域,功能安全认证也即将成为强制要求。另外,针对类似电梯、扶梯等关系到公众人身安全的公共设施,国家近期也已经对相应的标准进行了修改,使得功能安全评估和测试要求成为强制国标中的重要组成部分。
 

0
-1
收藏
/
正在提交,请稍候…